KsDumper

感謝mastercodeon314，現在有一個可以在 Windows 11 上運行的連接埠。
https://github.com/mastercodeon314/KsDumper-11

我一直對逆向工程感興趣。幾天前，我想看看一些遊戲內部的樂趣，但它被 EAC（EasyAntiCheat）打包和保護。這意味著它的句柄被剝奪了，我無法從 Ring3 轉儲該進程。我決定嘗試製作一個自訂驅動程序，允許我在不使用 OpenProcess 的情況下複製進程記憶體。我對Windows核心、PE檔案結構一無所知，所以我花了很多時間閱讀文章和論壇來製作這個專案。

• 使用核心驅動程式轉儲任何進程主模組（x86 和 x64）
• 重建 PE32/PE64 標頭和部分
• 適用於受保護的系統程序和帶有剝離句柄的進程（反作弊）

注意：導入表不會重建。

在使用KsDumperClient之前，需要載入KsDumper驅動程式。

它是未簽名的，因此您需要根據需要加載它。我在 Win10 上使用 drvmap。如果您也想使用它，此版本中提供了所有內容。

• 以管理員身分執行Driver/LoadCapcom.bat 。暫時不要按任何按鍵或關閉視窗！
• 以管理員身分執行Driver/LoadUnsignedDriver.bat 。
• 在LoadCapcom cmd 中按 Enter 鍵卸載驅動程式。
• 運行KsDumperClient.exe 。
• 利潤 ！

注意：驅動程式將保持載入狀態，直到您重新啟動，因此如果您關閉 KsDumperClient.exe，您可以重新開啟它！
注意 2 ：儘管它可以轉儲 x86 和 x64 進程，但它必須在 x64 Windows 上運行。

這個專案是我了解 Windows 核心、PE 檔案結構和核心與使用者空間互動的一種方式。它僅供參考和教育目的。

考慮到該項目的性質，強烈建議在Virtual Environment中運行它。我對您的系統可能發生的任何崩潰或損壞不承擔任何責任。

重要提示：此工具不會嘗試隱藏自身。如果您的目標是受保護的遊戲，反作弊程式可能會將其標記為作弊，並在一段時間後禁止您。使用Virtual Environment ！

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• 需要 Visual Studio 2017
• 需要 Windows 驅動程式工具包 (WDK)
• 需要.NET 4.6.1